Planes de continuidad de negocio: quien falla al planear, está planeando fallar
Ponencia de Jorge Félix Cea perteneciente al módulo Ciberseguridad para empresas de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 6 minutos
A la hora de elaborar planes de continuidad de negocio es importante definir la política de continuidad, ya que supone el marco de trabajo, definido por la propia organización para el desarrollo, implementación, revisión y mejora de los planes. Se trata de prevenir el impacto antes de que ocurra y ser capaz de recuperarse en cuanto ocurre un desastre.
Análisis de Riesgo y Análisis de Impacto
El Análisis de Riesgo ayuda a determinar cuáles son las amenazas con un alto impacto. Pueden ser poco probables, pero tienen un impacto alto en caso de materializarse y se centran en una dimensión: la disponibilidad.
Por su parte, el Análisis de Impacto en el Negocio (BIA) permite identificar los procesos de negocio que son claves, establecer la relación con los servicios TI y las infraestructuras que los soportan. El resultado es el conjunto de procesos más críticos, las dependencias con servicios TI y un orden de prioridad en la recuperación de procesos.
El impacto de un incidente se suele valorar de forma cuantitativa en franjas horarias para ver cómo evoluciona desde periodos de 4-8 horas a una semana.
Escenarios de indisponibilidad
En esta fase se identifican los escenarios de indisponibilidad principales sobre los que se va a trabajar en caso de materializarse las amenazas con mayor probabilidad. Los escenarios son los siguientes:
- Sin acceso a Dropbox y Google Workspace. Pérdida de conexión a internet.
- No se puede trabajar en la sede principal.
- Ausencia de personal cualificado para hacer una actividad concreta.
- Fallos en el suministro de servicios.
En base a estos cuatro tipos de escenarios, se trabaja sobre un conjunto de estrategias de continuidad que permiten prevenir la amenaza y mitigan el impacto en caso de que se materialice.
Estrategias de continuidad
El objetivo de estas estrategias es prevenir que un incidente provoque un alto impacto y se convierta en una crisis, definiendo cómo seguir trabajando en modo de contingencia. Las estrategias permiten tener capacidad de reacción y actuar de forma organizada, por lo que es recomendable contar con ellas.
Plan de Continuidad y Plan de Recuperación ante Desastres
El Plan de Continuidad describe las actividades en caso de un incidente que puede desembocar en una crisis. Evalúa el impacto del incidente que se ha materializado, la declaración de desastre y activación del estado de crisis, la comunicación del desastre y la recuperación.
Los Planes de Recuperación ante Desastres se centran en recuperar servicios TI concretos que sirven para prestar los servicios críticos. Suele haber varios, uno para cada tecnología afectada.
Formación, concienciación y actividades periódicas
La formación es fundamental a nivel de continuidad de negocio. Es conveniente realizar acciones de concienciación a las personas que están involucradas en dicha continuidad, no tanto al resto de usuarios de la organización.
Hay una serie de actividades periódicas para mantener activo el Plan de Continuidad:
- Pruebas con diferentes enfoques y alcance.
- Revisión de las estrategias de continuidad.
- Revisión del Plan de Gestión de Crisis.
- Concienciación a la organización sobre la continuidad.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Jorge Félix Cea Claver
Jorge es ingeniero informático por la Universidad Politécnica de Madrid, con amplia experiencia en certificaciones de Sistemas de Gestión y Continuidad de Negocio. Actualmente es consultor de Seguridad de la Información y Procesos en Secure & IT.
¿Cuál es tu reacción?